【IT168 專稿】網上銀行(簡稱“網銀”)雖然給網民的生活帶來了非常大的便利,但是在網上銀行的使用過程中,卻存在著種種的安全陷阱,稍一不留神,就會帶來不可彌補的經濟損失,先來看看下面幾年安全事件回顧。
一、網銀攻擊事件回顧
2003年12月,匯豐、中銀香港均發現有假網站冒充。香港金融管理局稱,這是至2003年6月以來,第六宗涉及香港銀行的假冒網上銀行案。
2004年3月,花旗銀行在短短兩個月當中至少發現14個偽造網站,有時幾乎每隔一天就發現一個假冒網站,不法之徒偽造該銀行的網站,然后假冒銀行的名義發出電郵給客戶,要求客戶輸入帳號和密碼。
2004年12月7日,假冒的中國銀行網站出現在互聯網上,誘騙銀行卡持有人的帳戶和密碼,被揭發后該網站被關閉
2004年12月15日假冒中國工商銀行的網站暴露出來。假工行網站“www.1cbc.com.cm”與真工行網站“www.icbc.com.cn”的域名只有“1”和i之差,致使大量工行用戶上當受騙。
2005年4月網絡上又出現一家假工行網站。假工行網站以“注冊網上 銀行中大獎”為誘餌,讓網民輸入工行帳號與網絡銀行密碼,從而獲取網友個人信息。假冒網站“www.cnicbc.com.cn”比工商銀行的正常網址( www.icbc.com.cn)多了cn兩個字母。
2006年,公安部破獲的盜竊網上銀行支付帳號案件超過3600起。
2007年4月,建行網銀再現安全漏洞,浙江一市民11萬元不翼而飛。
二、網銀常見騙術
上面回顧的各種假銀行網站新聞早以被各個媒體炒作的沸沸揚揚,使得許多網絡用戶對網上銀行的安全性,一直抱著觀望、懷疑的態度。那么這些假銀行網站是通過什么方法欺騙用戶盜取用戶的目的的呢?
(1)、URL地址欺騙與簡單防范
攻擊者通過一定的技術手段,構造虛假的URL地址,當用戶訪問偽造網站時,卻以為自己正在訪問的是正確的網站,從而造成各種密碼和信息的泄露。攻擊者往往是通過各種郵件或在各種論壇網頁發布偽造的鏈接地址,誘騙用戶訪問虛假網站的。
例1、例如攻擊者在一個論壇中發布這樣一個帖子,主題為“注冊網上銀行中大獎”攻擊者在帖子內容中輸入一些欺騙誘惑性的內容,并留下網絡銀行的地址,誘惑用戶登陸自己偽造的虛假網站上,其中最重要的一個環節就是構造虛擬的鏈接地址,讓用戶以為自己登陸的是正確的網站,例如攻擊者可能在帖子中加入如下代碼“點擊<a href="www.123.com">中國工商銀行網上銀行</a>,活動期間注冊送現金,萬元大獎等你拿!”當帖子發布以后,在網頁中顯示的是“中國工商銀行網上銀行”但是當用戶點擊鏈接時,卻鏈接到了偽造的網址上,如果攻擊者將這個地方的網站換成其他偽造的銀行網站,那么用戶就很有可能上當受騙,當然這只是一種非常低級的欺騙手段,稍有經驗的用戶只要將鼠標移動到鏈接上就可以在狀態欄中看到實際的鏈接地址,從而識破欺騙。用戶在上網過程中要隨時注意到地址欄的URL變化,發現地址欄上的域名發生變化后就要引起重視從而防范遭受攻擊。
(2)、利用IE漏洞欺騙攻擊
“釣魚者”還有更巧妙的攻擊方式,利用IE的語法錯誤,或者利用IE的一些漏洞等,讓用戶無法察覺URL地址的變化。
例2、在使用一些沒有打過補丁的電腦時,在URL地址里面輸入“http://www.icbc.com.cn/@www.123.com/”之類的網址,用戶點擊后在打開的瀏覽器標題欄和地址欄中看到的鏈接地址也是“http://www.icbc.com.cn”可實際上顯示的內容是“www.123.com”如果www.123.com是攻擊者偽造的網站那么后果不言而喻。
URL欺騙不僅僅是這幾種另外釣魚者還有可能利用最新的IE漏洞,或者使用一些其他的腳本編程技術,使得新開的網頁中不顯示地址欄,或者完全顯示和真正網站顯示的完全一樣信息。
(3)、網站克隆欺騙
當一些大意的用戶被欺騙,鏈接上假網站時如果網站的內容與真是網站內容不盡相同,那用戶還會產生懷疑的,往往釣魚者會將網站做的與真是的十分相似,而且非常簡單通過網頁克隆的技術使得虛假網站與真是網站難以分辨。在克隆的網站上,無論是網站的LOGO、圖表、新聞內容和鏈接等等都是鏈接到真實的網站上,但是在輸入帳號的位置就隱藏陷阱了,當用戶輸入正確的帳號和密碼時網站就會彈出提示窗口,顯示用戶密碼錯誤,要求在輸入一次,在輸入正確的密碼后,才能真正的登陸到真是的網站上,但是用戶名和密碼已經在第一次提示錯誤時被程序記錄發送到釣魚者手中了。
三、防范方法
1、假網上銀行往往會有很強的隱藏性與真銀行網站非常相似,沒有經驗的用戶容易上當受騙,因此用戶在登陸網上銀行時,一定要再三審核該銀行網站的真偽。
2、對于一些虛假網上銀行網站,往往是通過電子郵件、網頁彈出廣告、論壇廣告帖等各種手段誘惑用戶上鉤,因此在登陸一個網上銀行時,如果是通過第三方網站鏈接到此網銀網站,那么這個網站有很大的可能性是釣魚網站
3、所有國內銀行網站在第一次進入銀行項目的時候都需要下載安全證書用戶可以通過檢測安全證書來確定網站身份。
4、一般國內的銀行網站,由于都是使用專人管理服務器,通常都是運行穩定的,不會出現服務器忙或者系統維護之類的提示。就算有重大的以外事故需要停止服務一般都會提前公告通知用戶而釣魚網站通常都是通過異常提示來盜取用戶帳號和密碼的。如果在銀行網站輸入了正確的銀行用戶和密碼卻出現系統維護之類的提示,那么應當立即撥打銀行的客服熱線進行確認。
總結:有些釣魚網站錯誤提示也偽裝的非常逼真,當用戶第一次輸入密碼時,會被網站記錄盜取,第二次輸入的密碼才會送到真正的網銀網站,如果用戶確信輸入了正確的銀行密碼但是卻出現了密碼錯誤的提示那么一定要當心了。
